Kort svar
En mobilpolicy för anställda på resa reglerar vem som får ringa och surfa var, hur enheter skyddas och vad företaget betalar. Den bör täcka roaming inom och utanför EU/EES, obligatorisk MFA och VPN, samt rollanpassade regler. Använd mallen längst ned och anpassa den till era roller.
En mobilpolicy för anställda på resa svarar på tre frågor innan resan börjar: vem får göra vad, hur skyddas enheten, och vad får det kosta? Utan den blir roamingnotor, öppna wifi-nät och borttappade mobiler företagets problem i efterhand. Nedan går vi igenom varför policyn behövs, vad den ska innehålla, hur reglerna skiljer sig per roll och hur du hanterar säkerheten på resa — och längst ned finns en mall att utgå från.
Varför behöver företaget en mobilpolicy för anställda på resa?
Därför att tre kostnader — roaming, dataincidenter och förlorad tid — annars uppstår oplanerat och landar på företaget i efterhand. En policy flyttar besluten från stunden på flygplatsen till skrivbordet, innan resan.
De tre riskerna är konkreta:
- Roaming utan tak. Inom EU/EES är kostnaden reglerad, men utanför saknas pristak. Aktiverad data på fel plats kan ge en nota på tusentals kronor för en enda resa.
- Dataincidenter. Tappas en mobil med e-post och systemaccess kan det vara en personuppgiftsincident som ska anmälas till Integritetsskyddsmyndigheten (IMY) utan onödigt dröjsmål, senast inom 72 timmar.
- Otydliga beslut. När ingen vet vad som gäller frågar de anställda IT om varje resa — eller struntar i att fråga. Båda kostar tid.
En policy på en sida gör alla tre hanterbara på förhand.
Vad ska en mobilpolicy innehålla?
Sex delar räcker: omfattning, roaming och datagränser, säkerhetskrav, hantering av borttappad enhet, kostnadsansvar och rollundantag. Håll den kort — en policy som ingen läser skyddar ingen.
- Omfattning — vilka enheter, abonnemang och länder policyn gäller.
- Roaming och datagränser — vad som gäller inom EU/EES respektive utanför, och var gränsen går innan någon måste godkänna extra data.
- Säkerhetskrav — MFA, VPN, kryptering, skärmlås och uppdateringar.
- Borttappad eller stulen enhet — vem som kontaktas, hur enheten spärras och fjärraderas, och när en incident ska anmälas.
- Kostnadsansvar — vem godkänner extra data utanför EU/EES och hur privat användning hanteras.
- Rollundantag — vilka roller som har striktare eller friare regler.
Hur skiljer sig reglerna mellan olika roller?
Reglerna skiljer sig efter hur mycket data rollen behöver och hur känsliga system den når. En säljare och en systemadministratör ska inte ha samma policy — den ena behöver frihet, den andra kontroll. Rollanpassade regler gör policyn både säkrare och lättare att följa.
| Roll | Datafrihet på resa | Säkerhetskrav | Typiskt behov |
|---|---|---|---|
| Fält- och säljpersonal | Hög — ringer och surfar dagligen | MFA, VPN på öppna nät | Stor datapott, EU-roaming som standard |
| Ledning | Medel–hög | MFA, kryptering, förberedd fjärradering | Nåbar globalt, ofta utanför EU/EES |
| IT och roller med systemaccess | Låg–medel, styrd | MFA överallt, VPN alltid, ingen access via publikt wifi | Skydd av känsliga system väger tyngst |
| Tillfällig resenär | Låg, tidsbegränsad | MFA, roaming aktiveras vid behov | Enstaka resa, spärr utanför EU/EES |
Vill ni ha koll på både täckning och kostnad när teamet reser? Vår internationella telefoni samlar abonnemang, roaming och support i ett avtal med en faktura — i stället för lokala avtal i varje land.
Hur hanterar du säkerhet (MFA och VPN) på resa?
Med sex tekniska baskrav som gäller innan enheten lämnar Sverige. På resa kopplar den anställda ofta upp sig mot öppna hotell-, café- och flygplatsnät, och det är där de flesta angreppen börjar. CERT-SE, som drivs av Myndigheten för samhällsskydd och beredskap (MSB), pekar ut just publika nät och svaga inloggningar som återkommande svaga punkter.
- MFA på alla jobbkonton — obligatoriskt, inte valfritt. Det stoppar de flesta kontoövertaganden även om ett lösenord läcker.
- VPN på alla öppna nätverk — hotell, flygplats, café. All jobbtrafik ska gå genom tunneln.
- Kryptering och skärmlås på varje enhet, med automatisk låsning efter kort tid.
- Förberedd fjärradering (MDM) — så en borttappad mobil kan tömmas på distans.
- Uppdaterad programvara före avresa — appar och operativsystem.
- En incidentväg — vem den anställda ringer direkt om enheten tappas eller stjäls.
Punkt 4 och 6 hänger ihop med 72-timmarsregeln: kan enheten fjärraderas snabbt och rätt person larmas direkt, minskar risken att en förlust blir en anmälningspliktig incident.
Hur håller du koll på roaming och kostnader utanför EU?
Genom att skilja på inom och utanför EU/EES i policyn. Sedan 2017 gäller principen surfa som hemma inom EU och EES — den anställda använder sin ordinarie datapott och sina samtal utan tillägg, och reglerna är förlängda till 2032 och övervakas av Post- och telestyrelsen (PTS). Ett företagsabonnemang med EU-roaming täcker därmed större delen av resandet inom Europa utan extra beslut.
Utanför EU/EES — exempelvis USA, Storbritannien, Schweiz och Turkiet — saknas EU:s pristak, och där behövs styrning:
- Sätt en datagräns per resa och kräv chefsgodkännande för att gå över den.
- Använd eSIM eller lokala datapaket för längre resor i stället för öppen roaming.
- Aktivera spärrar så data inte står på av misstag utanför Europa.
En hanterad lösning för internationell telefoni prissätts per uppdrag — det finns inget listpris — och beror på antal resande användare, vilka länder de reser i, datamängd per användare, om lokala nummer eller eSIM behövs, och hur lösningen integreras med era befintliga operatörsavtal och växeln. Ett grundläggande företagsabonnemang börjar lågt, medan en global uppsättning med lokala nummer kostar mer. I praktiken betalar sig policyn och rätt abonnemang ofta första gången ni slipper en enda okontrollerad roamingnota.
Mall: mobilpolicy för anställda på resa
Kopiera avsnitten nedan, fyll i hakparenteserna och stryk det som inte gäller er. Håll den på en sida.
1. Syfte och omfattning. Denna policy gäller [alla anställda / rollerna X] som använder mobil eller surfplatta betald av [företaget] utanför Sverige. Den omfattar [tjänsteenheter / även privata enheter med jobbaccess].
2. Roaming och data. Inom EU/EES gäller ordinarie abonnemang utan tillägg. Utanför EU/EES krävs godkännande av [chef/ansvarig] innan data aktiveras, och datamängden begränsas till [X GB] per resa. Kostnad utöver det [bokförs på avdelningen / kräver attest].
3. Säkerhet. MFA är obligatoriskt på alla jobbkonton. VPN ska användas på alla öppna nät. Enheten ska ha skärmlås, kryptering och senaste uppdateringar. Fjärradering via [MDM-lösning] är aktiverad före resa.
4. Om enheten tappas eller stjäls. Kontakta [IT / ansvarig] omedelbart på [telefonnummer]. Enheten spärras och fjärraderas. Innehåller den personuppgifter bedöms om incidenten ska anmälas till IMY inom 72 timmar.
5. Roller och undantag. [Roll] har [striktare / friare] regler enligt tabellen ovan: [beskriv kort].
6. Kostnad och privat användning. Privat användning [tillåts inom rimlig omfattning / regleras enligt X]. Frågor om förmånsbeskattning stäms av med [lönekontakt] mot Skatteverkets regler.
Ska ni sätta upp både policyn och telefonin för ett team som reser? Se internationell telefoni för hur roaming, lokala nummer och support samlas hos en partner, och boka en genomgång så anpassar vi upplägget efter era roller och resmål.
Vanliga frågor
Måste företaget ha en skriftlig mobilpolicy?
Det finns inget uttryckligt lagkrav på just en mobilpolicy, men en skriftlig policy är i praktiken nödvändig för att uppfylla kraven på skydd av personuppgifter. En jobbmobil på resa bär ofta e-post, kontakter och systemaccess, och en policy är hur du visar att rätt skyddsåtgärder finns på plats. Reglerna om personuppgifter finns hos IMY.
Kostar det extra att ringa och surfa inom EU?
Nej. Inom EU och EES gäller principen surfa som hemma, så den anställda använder sin vanliga datapott och sina samtal utan tillägg. Reglerna är förlängda till 2032 och övervakas av Post- och telestyrelsen (PTS). Utanför EU/EES finns däremot inget pristak, och där bör policyn sätta en gräns.
Vad gör vi om en mobil med jobbdata blir stulen utomlands?
Spärra och fjärradera enheten direkt, och kontakta IT. Innehåller mobilen personuppgifter kan det vara en personuppgiftsincident som ska anmälas till IMY utan onödigt dröjsmål, senast inom 72 timmar. Därför ska varje enhet ha skärmlås, kryptering och förberedd fjärradering innan resan.
Ska vi kräva MFA och VPN när anställda reser?
Ja. Flerfaktorsautentisering (MFA) stoppar de flesta kontoövertaganden även om ett lösenord läcker, och VPN skyddar trafiken på öppna hotell- och flygplatsnät. CERT-SE rekommenderar båda. Gör dem obligatoriska i policyn, inte frivilliga.
Behöver olika roller olika regler?
Ja. En säljare som reser i EU behöver stor datafrihet, medan en roll med access till känsliga system behöver striktare regler, till exempel VPN överallt och ingen inloggning via publikt wifi. Rollanpassade regler gör policyn både säkrare och enklare att följa.
Blir en jobbmobil på resa en skattepliktig förmån?
Normalt inte. Betalar arbetsgivaren ett abonnemang med fast månadsavgift räknas mobilen som ett arbetsredskap, och privat användning som inte ökar kostnaden är i regel skattefri. Har abonnemanget rörliga avgifter kan privatsamtal bli en förmån. Stäm av gränsdragningen mot Skatteverkets regler.
Vad kostar en lösning för internationell telefoni?
Den prissätts per uppdrag, så det finns inget listpris. Kostnaden beror på antal resande användare, vilka länder de reser i, datamängd, om lokala nummer eller eSIM behövs och hur lösningen integreras med era befintliga avtal. Ett grundläggande företagsabonnemang med EU-roaming börjar lågt, medan en global uppsättning kostar mer.